Моя компания отправляет крайне конфиденциальные данные подрядчику в Китае, но говорит, что это не так. Должен ли я что-нибудь делать?

Я работаю разработчиком в стартапе среднего размера, в котором работает около 200 человек и около 50 тысяч клиентов.

Наша политика конфиденциальности гласит, что мы не передаем данные клиентов третьим лицам, за исключением того, что мы, безусловно, делаем это — мы отправляем крайне конфиденциальные данные каждого клиента подрядчику в Китае для обработки, что дает нам огромное ценовое преимущество, вдвое снижая цену нашего продукт.

С одной стороны, я не выношу крайне секретную информацию, которую пересылают режиму, который лично мне не нравится. С другой стороны, я вырос профессионально благодаря этой компании как разработчику, и они хорошо платят.

Что мне делать, если что, по этому поводу? Примечание. Однажды я сказал вслух (глупо), что наша политика конфиденциальности гласит, что мы не передаем данные третьим лицам, и если это будет обнаружено, мы можем столкнуться с коллективным иском. Около 10 человек услышали, как я это сказал.

Помимо этических вопросов, есть ли еще и юридические? Возможно, стоит поговорить с юристом.
Пожалуйста, отметьте это местоположением, поскольку очевидно, что регулирующие законы различаются.
Какое отношение имеет отправка данных китайскому подрядчику к тому, что вам не нравится их правительство?
@dan-klasson, Во-первых, если эта информация принадлежит мусульманам-уйгурам, последователям Фалуньгун, или протестующим в Гонконге, или китайским неплательщикам налогов, или китайским диссидентам, эта компания может невольно подписывать свои ордера на арест/смерть и арест своей семье и друзьям, отправив его подрядчику в Китае.
@StephanBranczyk Вы можете применить ту же безумную теорию заговора к отправке данных подрядчику в США, и это будет столь же бессмысленно.
О какой конфиденциальности мы говорим? Фотография последнего приема пищи человека и, возможно, его адрес, или, что-то вроде конфиденциальных медицинских данных военнослужащих?
@nvoigt Не наше дело. ОП, конечно, не захочет идентифицировать себя. Он должен прояснить ситуацию и получить подтверждение от своих верхних коридоров, что они занимаются юридической частью. Что касается самих себя, то ОП должен подумать, что для них важнее: собственное счастье в компании или моральная позиция. Чего они не могут легко сделать, так это изменить основную политику компании (что, по-видимому, так и есть, так как это дает серьезное рыночное преимущество).
Заявление о том, что компания отправляет исключительно личную информацию подрядчику в Китае, ничего не значит, если не указать, какие данные отправляются, какова юридическая классификация подрядчика, какие законы, по вашему мнению, нарушаются и т. д. Нет. это зависит от вашего личного мнения по этому вопросу. Это вопрос закона. То, что вам это не нравится, ничего не значит. Защищена ли эта информация законом? Будет ли подрядчик юридически классифицирован как третья сторона или он будет классифицирован как партнер?
Подрядчик, где бы он ни базировался, вероятно, не является «третьей стороной». Если они действуют от имени компании, то я не думаю, что закон будет считать их третьей стороной. (Хотя я бы хотел, чтобы мнение юриста было уверенным).

Ответы (4)

Интерпретация политик конфиденциальности не тривиальна, поэтому имейте в виду, что вы можете ошибаться. В то же время не стоит сразу подозревать злого умысла — возможно, они захотят разобраться в ситуации.

Первой остановкой должен быть ваш непосредственный руководитель. Поделитесь своим беспокойством с этим человеком и посмотрите, что он скажет. Если вы не удовлетворены их ответами даже после того, как неоднократно поднимали вопрос, вы можете передать их менеджеру (упомянув, что вы говорили об этом со своим непосредственным руководителем, и если вы также можете сообщить своему непосредственному руководителю, что вы поднимаете вопрос).

Если даже это не решит вашу проблему, подумайте о том, чтобы обратиться с ней в другой отдел (например, в юридический отдел). Наконец, вы можете поднять его до генерального директора.

Если все вышеперечисленное не помогло, вы можете рассмотреть возможность уведомления властей. Если вы сделали все вышеперечисленное, а компания все еще не решила проблему, есть вероятность, что вы окажетесь в невыгодном положении, если компания заподозрит, что вы уведомили власти. Лично, если бы я пошел к властям, я бы сделал это только в том случае, если я согласен покинуть компанию. Это решение можете принять только вы. Если вместо этого вы решите оставаться на низком уровне, то обязательно защитите себя, например, документируя инструкции по отправке данных и т. Д. В электронных письмах.

"Если вместо этого вы решите оставаться на низком уровне...", продолжайте поступать неправильно, но имейте доказательства, чтобы обвинить кого-то другого...
добавляя больше к @SolarMike one, если решение использовать для отправки данных в Китай исходит от вас, тогда вам нужно выбирать между этикой или работой, если вы знаете, кто принял это решение, тогда просто запомните его имя и оставайтесь на низком уровне
@SolarMike Компания также может подать в суд на OP, давайте не будем забывать об этом. И прежде чем они начнут выигрывать дело (при условии, что в конце концов они это сделают), OP разоряется, их жизнь, возможно, разрушена, в зависимости от того, сколько власти и беспринципности имеет компания. За разоблачение приходится платить цену, которую общество всегда готово заплатить другим.

Если это была передача данных из ЕС в Китай, существуют правила ( https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection_en ), которые необходимо соблюдать. .

Я предполагаю, что аналогичные правила применяются к передаче данных из США в Китай, но требуется некоторая юридическая экспертиза, чтобы понять, защищены ли эти передачи данных «щитами конфиденциальности».

Как правило, эти законы нелегко соблюдать, если кто-то не становится осведомителем!

Если вы НЕ уверены на 100%, что действия американской компании являются незаконными, просто расскажите о своих опасениях своему начальству.

ЕСЛИ вы считаете, что эта передача данных является 100% незаконной (по фактам, предоставленным самой американской компанией и/или вашим адвокатом), И (+) американская компания пытается избежать решения проблемы (не отвечает на ваши вопросы в электронных письмах в приказ НЕ оставлять бумажного следа улик!), И (+) одновременно вы думаете, что скандал может нанести ущерб вашей карьере, стать анонимным доносчиком властям. ЕСЛИ все эти 3 фактора не существуют одновременно, просто расскажите о своих опасениях начальству.

Я не выношу крайне конфиденциальную информацию, которую пересылают режиму, который лично мне не нравится.

Что мне делать, если что, по этому поводу?

Вы говорите, что не можете этого вынести, но пока выдержите.

Если режим вас достаточно беспокоит, вам следует найти новую работу и уйти с этой.

Прежде чем вы решите искать в другом месте, вы можете убедиться, что подрядчик в Китае считается «третьей стороной» в контексте публичных заявлений вашей компании о не отправке данных третьей стороне. Когда-то я работал в компании, у которой была дочерняя компания в Индии. Это не считалось «третьей стороной».

Возможно, вам будет полезно обсудить этот вопрос с вашим начальником и посмотреть, чему вы можете научиться.

Это не ваша проблема, которую нужно решать. Если они обрабатывают конфиденциальные данные, для этого предусмотрены обязательные процедуры. И это будет регулярно проверяться.

Если вы не доверяете аудиторам, вашей компании и властям, вам следует подумать о том, чтобы двигаться дальше.

Если у вас есть амбиции разрушить свою карьеру и другие риски, в том числе, возможно, делать все это напрасно, что является обычным результатом, тогда поднимите протест. В противном случае просто делай свою работу или уходи.

Из поста неясно, какое местонахождение имеет OP и какие механизмы аудита используются, какие-либо.
Как можно делать столько предположений? Я не считаю ваш ответ конструктивным.
@ChrisFNZ какие предположения, нет ни одной страны без законодательства по этим вопросам. Если, возможно, это не государство-изгой, в этом случае это даже не будет проблемой.
@Kilisi На самом деле не в каждой стране есть законодательство по этим вопросам. Вы предполагаете, что законодательство установило обязательные процедуры, и что все они будут регулярно проверяться.
@ChrisFNZ назовите один, в Новой Зеландии он определенно есть ... и регулярно проверяет. Они очень тщательно проверяют мои материалы, и я также должен иметь юридические документы с изложением процедур и аудитов третьей стороной.
@Kilisi Это зависит от того, что вы определяете как конфиденциальные данные. Одно дело PCI, другое PII. Существует множество других форм конфиденциальных данных. Кто в Новой Зеландии регулярно проверяет конфиденциальные данные каждой организации?
На ум приходит @ChrisFNZ NZFUI, но есть и другие. Все, что пересекает границу. Я понимаю вашу точку зрения, хотя, это в определении чувствительного...
@Kilisi Кто такой NZFUI? Также, пожалуйста, назовите других.
@ChrisFNZ ой, NZFIU, я не буду называть других... у вас проблема, прочитайте законодательство Новой Зеландии, это часть моей работы. Я даже не живу в Новой Зеландии, но постоянно сталкиваюсь с этим.
@Kilisi Извините, но ваше утверждение вводит в заблуждение. NZFIU уполномочен «Подразделение финансовой разведки Новой Зеландии (FIU) собирать, анализировать и распространять финансовую информацию, касающуюся подозрительных транзакций / деятельности, отмывания денег и финансирования терроризма». Я могу заверить вас на 100%, что они не проверяют каждую организацию в Новой Зеландии на предмет обращения с конфиденциальными данными. Это непрактично и абсурдно. То, что NZFIU делает в отношении ПОД/ФТ, отличается от того, на что ссылается ОП.
NZFIU занимается AML/CFT, IRD и таможня занимаются другими вопросами, FCC покрывает биометрические аспекты в некоторых аспектах и ​​многое другое.... в Новой Зеландии довольно сложно... так что перестаньте бить дохлую лошадь... она уже мертва... и не скулите и не отмечайте мои комментарии, когда у вас нет ответов... Я спросил, какую страну вы имеете в виду, и вы отказались отвечать... так что совершенно очевидно, что вы это только что придумали. Хотя это часть моего бизнеса, я не читаю законодательство и аудиторские отчеты для развлечения.
@Kilisi Я отвечу на твой комментарий. Компании могут хранить множество конфиденциальных данных в своих системах без какого-либо ведома или надзора со стороны правительства. Это было моей точкой зрения. И я буду помечать ваши комментарии, если они будут неуважительными. Я оставлю это там.
Моя компания отправляет крайне конфиденциальные данные подрядчику в Китае, но говорит, что это не так. Должен ли я что-нибудь делать?
СпросиСетьПолитика конфиденциальности1y, 0v